Monday, December 11th, 2017

Цепь Web-прокси как форма сетевой маршрутизации

Published on Февраль 13, 2009 by   ·   Комментариев нет

Цепь web-прокси – это метод переадресации соединений web-прокси с одного ISA-сервера на другой. Цепи web-прокси состоят из обратного и прямого ISA-серверов. Обратными ISA-серверами называются те, которые расположены ближе всего к соединениям с Интернетом, а прямые ISA-серверы – это те, которые расположены дальше от соединения с Интернетом. Прямые ISA-серверы переадресуют запросы web-прокси на обратные ISA-серверы. Первым ISA-сервером в цепи web-прокси является тот, который ближе всего к Интрнету, и который отвечает за получение содержимого Интернета.

Использование цепи web-прокси полезно в следующих случаях:

  • ISA-серверы филиала можно связать цепью с обратными ISA-серверами главного офиса
  • ISA-серверы отдельных отделов, защищающие специализированные сети отделов внутри организации, можно связать цепью с сегментом сетевых служб или обратными ISA-серверами, напрямую соединенными с Интернетом
  • Поставщики услуг Интернета или крупные клиенты компании могут связать цепью массивы ISA-серверов web-кэширования с обратным ISA-сервером или массивом ISA-сервера web-кэширования

Преимуществом использования цепи web-прокси в том, что так вы можете снизить общую загрузку канала Интернета и каналов между прямыми и обратными ISA-серверами в цепи web-прокси. На Рисунке 1 показан пример цепи web-прокси и поток информации в цепи.

Прокси веб

Рисунок 1

  1. Клиент, находящийся в защищенной сети за ISA-сервером, делает запрос к web-странице, расположенной на web-сервере в Интернете. Запрос на соединение отсылается через ISA-сервер, защищающий сеть отдела.
  2. ISA-сервер переадресует запрос на соединение к односетевому ISA-серверу, расположенному в основной сети организации. ISA-сервер отдела настроен на использование цепи web-прокси для связи с односетевым ISA-сервером. Поскольку односетевой ISA-сервер способен защищать себя от атак, можно почти не обращать внимания на атаки от узлов основной сети или от узлов, расположенных за аппаратным брандмауэром с функцией фильтрации пакетов перед односетевым ISA-сервером.
  3. Односетевой ISA-сервер, работающий только на web-кэширование, переадресует запрос на соединение через аппаратный маршрутизатор с функцией фильтрации пакетов.
  4. Web-сервер Интернета возвращает запрос односетевому ISA-серверу через аппаратный брандмауэр с функцией фильтрации пакетов.
  5. Односетевой ISA-сервер переадресует ответ ISA-серверу отдела. Однако, перед тем, как переадресовать ответ, односетевой ISA-сервер помещает содержимое в свой кэш. Web-содержимое в ответе возвращается ISA-серверу отдела из кэша односетевого ISA-сервера.
  6. ISA-сервер отдела возвращает ответ клиенту, сделавшему запрос. Но перед этим содержимое помещается в кэш. Именно из кэша ISA-сервера отдела получает содержимое узел, сделавший запрос.
  7. Узел другой сети делает запрос к этой же web-странице. Данный узел также защищен ISA-сервером. Запрос проходит через этот ISA-сервер.
  8. ISA-сервер находится в цепи с односетевым ISA-сервером основной сети, на который и переводится запрос. Перед переадресацией запроса на web-сервер Интернета односетевой ISA-сервер проверяет свой кэш на наличие необходимого содержимого.
  9. Односетевой ISA-сервер запрашивает содержимое из своего кэша и возвращает его ISA-серверу отдела. Односетевой ISA-сервер не отправляет запрос на web-сервер Интернета, поскольку информация уже есть в его кэше.
  10. ISA-сервер отдела переадресует содержимое узлу, инициировавшему запрос.

Из этого примера видно, что экономится пропускная способность не только Интернет-канала, но и канала связи с основной сетью. Экономия этой пропускной способности видна в ситуации, когда другой узел из любой из сетей отделов делает запрос к тому же web-содержимому. В этом случае ISA-серверам отделов, у которых уже есть данная информация в кэше, не нужно переадресовывать запрос на односетевой ISA-сервер основной сети. Таким образом уменьшается использование пропускной способности основной сети.

Другим приложением web-цепи является настройка прямого ISA-сервера для связи с массивом web-кэширования. Такие массивы создаются в ISA-сервере версии Enterprise Edition. На Рисунке 2 показан вариант использования массивов web-кэширования в организации.

Массивы

Рисунок 2

В данном примере прямые ISA-серверы могут быть настроены на использование цепи с массивом. Массив web-кэширования предоставляет информацию о настройках прямым ISA-серверам, включая имена компьютеров массива. Если один из членов массива по какой-либо причине недоступен, прямые ISA-серверы пытаются соединиться с доступными членами массива.

Помимо этого, в случае недоступности одного из членов массива, массив знает, что один из его членов не работает, и удаляет нерабочий компьютер из массива. Оставшиеся члены массива уведомляют прямые ISA-серверы отделов о том, какие члены доступны. Таким образом, прямые ISA-серверы защищены от попыток связи с неработающими членами массива.

Настройка цепи web-прокси производится на вкладке Web Chaining (Web-цепь) узла Network (Сеть). Для настройки цепи web-прокси выполните следующее:

  1. В консоли ISA-сервера раскройте узел Configuration (Настройки). Щелкните по узлу Networks (Сети).
  2. В узле Networks (Сети) в панели Details (Подробно) выберите вкладку Web Chaining (Web-цепь).
  3. В панели задач выберите вкладку Tasks (Задачи) и нажмите Create New Web Chaining Rule (Создать новое правило web-цепи).
  4. На странице Welcome to the New Web Chaining Rule Wizard (Начало работы мастера создания нового правила web-сети) введите имя правила в текстовое поле Web chaining rule name (Имя правила web-сети). Для примера, назовем наше правило Chain to ISA-1. Нажмите Next (Далее).
  5. На странице Web Chaining Rule Destination (Получатели для правила web-цепи) вы сообщаете ISA-серверу, для каких запросов следует использовать цепь с обратным ISA-сервером. Вы можете выбрать использование цепи для всех запросов в обратному серверу, или запросов к определенным URL. В нашем примере мы будем использовать цепь для всех запросов к обратному серверу. Для добавления сайтов нажмите Add (Добавить).
  6. В диалоговом окне Add Network Entities (Добавление сетевых элементов) щелкните по папке Networks (Сети), а затем дважды щелкните по сети External (Внешняя). Нажмите Close (Закрыть).
  7. На странице Web Chaining Rule Destination (Получатели для правила web-цепи) нажмите Next (Далее).
  8. На странице Request Action (Действия по запросу) (Рисунок 3) вы сообщаете ISA-серверу, как маршрутизировать запросы, настроенные на предыдущей странице. У вас есть следующие варианты:

    Retrieve requests directly from the specified location (Получать запросы напрямую с указанного места) Данный вариант настраивает ISA-сервер на отправку запросов, указанных на предыдущей странице, напрямую на сервер назначения, и не отсылать их обратный ISA-сервер. Это значит, что если ISA-сервер настроен на соединение с Интернетом не через цепь web-прокси, ISA-сервер будет переадресовывать соединения по своему каналу. Если ISA-сервер не имеет иного доступа в Интернет, отличного от цепи web-прокси, тогда соединение не устанавливается. Эта настройка отображает поведение ISA-сервера по умолчанию, т.е. без использования цепи web-прокси, а отсылки соединения к запрашиваемому сайту Интернета.

    Redirect requests to a specified upstream server (Перенаправлять запросы на указанный обратный сервер) В данном случае запросы переводятся на обратный сервер web-прокси. Этот вариант создает цепь web-прокси между этим сервером и обратным ISA-сервером. Опция Allow delegation of basic authentication credentials (Разрешить делегирование учетных данных базовой аутентификации) рождает несколько вопросов. Какие учетные данные? Для чего? Где мы будем аутентифицироваться? Аутентификация будет происходить на сайте? На обратном web-прокси? На прямом ISA-сервере? Везде? Или нигде? Пока мы не может определенно сказать, для чего используется этот параметр. Возможно, что он используется при внедрении цепи web-прокси для доступа к внутренним web-сайтам, но я не ручаюсь за правильность этого ответа.

    Я не использовал данную опцию, но если б мне было нужно, я бы сказал, что при использовании базовой аутентификации на прямом ISA-сервере учетные данные передаются на обратный ISA-сервер. Поэтому, если вы используете прозрачную встроенную аутентификацию на прямом ISA-сервере, учетные записи на обратный ISA-сервер передаваться не будут.

    Redirect requests to (Перенаправлять запросы на) Данный вариант позволяет переадресовывать к указанному ранее сайту на другой web-сайт. Например, предположим, что вы хотите переадресовывать запросы к сайтам из списка запрещенных на отдельную страницу вашего корпоративного сайта. Вам нужно выбрать данную опцию и ввести IP-адрес или FQDN вашего внутреннего сайта. Также можно указать порт HTTP и SSL.

    Use automatic dial-up (Использовать автоматическое соединение) Данная опция позволяет использовать коммутируемые соединения для данного правила. Если внешним интерфейсом является коммутируемое соединение, то выбирайте этот параметр, если вы хотите использовать коммутируемое соединение для связи с запрошенным сайтом. Можно использовать данную опцию, если на одном и том же ISA-сервере используется сетевой адаптер и коммутируемое соединение. Сетевой адаптер может использоваться для обычных соединений с Интернетом, а коммутируемое соединение – для соединений по цепи.

    Web прокси

    Рисунок 3

  1. В нашем примере вы выберем опцию Redirect requests to a specified upstream server (Перенаправлять запросы на указанный обратный сервер) и отключим опцию Allow delegation of basic authentication (Разрешить делегирование учетных данных базовой аутентификации). Нажмите Next (Далее).
  2. На странице Primary Routing (Первичная маршрутизация) введите IP-адрес или FQDN обратного ISA-сервера. Если вы вводите FQDN, убедитесь, что ISA-сервер может разрешить это имя в правильный IP-адрес. В текстовых полях Port (Порт) и SSL Port (Порт SSL)содержатся значения по умолчанию для всех остальных ISA-серверов. Обратите внимание, что порт SSL не используется для SSL-соединений клиентов, находящихся за прямым ISA-сервером в цепи web-прокси. SSL-соединения таких клиентов туннелируются в web-прокси соединениях с TCP-портом 8080 обратного ISA-сервера, если принудительно не использовать SSL между прямым и обратным ISA-серверами.

    Поле SSL Port (Порт SSL) используется в том случае, если вы хотите защитить канал цепи web-прокси между обратным и прямым ISA-сервером с помощью SSL. Для этого вам необходимо проверить, что сертификат центра сертификации установлен и на прямом, и на обратном ISA-сервере, что на обратном сервере установлен сертификат компьютера, что вы указали имя сертификата в поле Server (Сервер) на данной странице, а это имя разрешается в IP-адрес обратного ISA-сервера.

    Веб прокси

    Рисунок 4

Я настоятельно рекомендую требовать аутентификации на обратном web-прокси. Если на обратном web-прокси используется принудительная аутентификация, прямой web-прокси должен иметь возможность отправки учетных данных на обратный web-прокси для доступа в Интернет.

Учетные данные прямого web-прокси цепи web-прокси можно настроить, отметив параметр Use this account (Использовать эту учетную запись). Нажмите Set Account (Назначить учетную запись). В диалоговом окне Set Account (Настройка учетной записи) (Рисунок 5), введите имя пользователя в поле User (Пользователь) в формате ИМЯ_КОМПЬЮТЕРА\Имя_пользователя. Учетная запись настроена в локальной базе данных пользователей обратного ISA-сервера. Если обратный ISA-сервер является членом домена, можно вводить имя пользователя в формате ИМЯ_ДОМЕНА\Имя_пользователя.

Введите пароль и его подтверждение в поля Password (Пароль) и Confirm password (Подтвердить пароль) соответственно. В диалоговом окне Set Account (Настройка учетной записи) нажмите OK. Из выпадающего списка Authentication (Аутентификация) выберите параметр Integrated Windows (Встроенная аутентификация Windows). Если вы настраиваете использование цепи web-прокси с web-прокси сервером, отличным от ISA-сервера, вам придется использовать базовую аутентификацию. Если вы используете базовую аутентификацию, убедитесь, что канал цепи web-прокси настроен на использование SSL, поскольку учетные данные базовой аутентификации передаются открытым текстом. На странице Primary Routing (Первичная маршрутизация) нажмите Next (Далее).

Массивы

Рисунок 5

  1. На странице Backup Action (Резервные действия) у вас есть возможность выбора одного из следующих вариантов:

    Ignore requests (Игнорировать запросы) Если обратный web-прокси цепи web-прокси недоступен, с помощью данной опции вы обрываете запросы, и клиент получит ошибку, сообщающую о недоступности сайта.

    Retrieve requests directly from the specified location (Получать запросы напрямую из указанного мета) Этот параметр позволяет прямому ISA-серверу в цепи web-прокси использовать для связи с web-сайтом другой метод, не через цепь web-прокси. Данную опцию можно использовать в том случае, если внешний интерфейс ISA-сервера для достижения запрашиваемого сайта может использовать маршрут, отличный от цепи web-прокси.

    Route requests to an upstream server (Маршрутизировать запросы на обратный сервер) Данный параметр позволяет прямому ISA-серверу в цепи web-прокси использовать другой ISA-сервер во второй цепи web-прокси. Эта опция позволяет устанавливать вторую цепь web-прокси на прямом ISA-сервере, которая используется только в том случае, если первый обратный ISA-сервер недоступен.

    Use automatic dial-up (Использовать автоматическое коммутируемое соединение) Данную опцию следует включить при использовании коммутируемого соединения для связи прямого ISA-сервера с Интернетом, или же если вы хотите, чтобы запросы, настроенные по этому правилу, использовали коммутируемые соединения, а не первичное соединение ISA-сервера (обычно выделенный сетевой адаптер)

  2. На странице Backup Action (Резервные действия) выберите опцию Ignore requests (Игнорировать запросы) и нажмите Next (Далее).
  3. На странице Completing the New Web Chaining Rule Wizard (Завершение работы мастера по созданию нового правила web-цепи) нажмите Finish (Завершить)
  4. Теперь прямой ISA-сервер настроен на использование цепи в отношениях с обратным ISA-сервером. Не забудьте настроить правило доступа на обратном ISA-сервере для разрешения учетной записи, настроенной в правиле web-цепи, доступа к Интернету по протоколам HTTP, HTTPS и FTP.

После настройки цепи web-прокси прямой ISA-сервер может быть настроен на использование клиентами отдельной учетной записи, если учетная запись, используемая для аутентификации на прямом ISA-сервере, не распознается обратным ISA-сервером. Именно это мы и сделали выше.

В нашем случае именем пользователя для регистрации на обратном ISA-сервере будет имя, использованное для аутентификации в правиле цепи web-прокси.

Однако, если обратный ISA-сервер может аутентифицировать пользователя, инициировавшего изначальный запрос, по причине того, что обратный сервер находится в том же самом домене, что и клиент и прямой сервер, или в локальной базе обратного сервера есть такой пользователь, то пользователь, создавший соединение, появится в журналах и прямого, и обратного ISA-сервера.

Заключение

В данной статье мы рассмотрели основы работы цепи web-прокси. В ближайшей статье я покажу, как внедрить цепь web-прокси в VPN-окружении по схеме site-to-site, где прямой ISA-сервер связан цепью web-прокси с обратным ISA-сервером, с целью уменьшения загрузки VPN-канала.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]